<!doctype html>
<html lang=ru id=faq>

<!-- If you make edits to any FAQ documents, please start each sentence
     on a new line, and try to keep the general formatting consistent
     with the rest of the pages -->

<title>OpenBSD FAQ: Управление системой</title>
<meta charset=utf-8>
<meta name="viewport" content="width=device-width, initial-scale=1">
<link rel="stylesheet" type="text/css" href="../openbsd.css">
<link rel="canonical" href="https://www.openbsd.org/faq/faq10.html">

<h2 id=OpenBSD>
<a href="../index.html">
<i>Open</i><b>BSD</b></a>
FAQ - Управление системой
<small>
<a href="index.html">[FAQ - На главную]</a>
</small>
</h2>
<hr>

<ul>
<li><a href="#Patches"    >Обновления безопасности</a>
<li><a href="#rc"         >Системные демоны</a>
<li><a href="#doas"       >Выполнение команд от имени другого пользователя</a>
<li><a href="#vipw"       >Редактирование файла паролей</a>
<li><a href="#SKey"       >Использование S/Key</a>
<li><a href="#Dir"        >Служба каталогов (Directory Services)</a>
<ul>
  <li><a href="#YP_secure">Вопросы безопасности YP</a>
  <li><a href="#YP_server">Настройка YP сервера</a>
  <li><a href="#YP_client">Настройка YP клиента</a>
</ul>
</ul>

<hr>

<h2 id="Patches">Обновления безопасности (Security Updates)</h2>

При обнаружении и исправлении критического бага, fix сразу же будет добавлен
в дерево -current нашего репозитория (fix так же будет доступен во всех
последующих <a href="faq5.html#Flavors">сборках снапошотов</a>).
С этого момента, в зависимости от того, где был найден баг - в базовой
системе OpenBSD или third party пакете, последующие шаги будут отличаться.
В этом разделе подробно описано, как поддерживать вашу систему в актуальном
состоянии между релизами.

<p>
Security fixes для базовых компонентов OpenBSD обычно добавляются к двум
последним релизам. Есть четыре варианта:

<ul>
  <li><b>Использование бинарных патчей</b> - доступно для amd64, arm64, i386
    <br>
    Если вы используете одну из поддерживаемых релизов OpenBSD, вы можете
    использовать утилиту <a href="https://man.openbsd.org/syspatch">syspatch(8)</a>
    для обновления файлов, для которых появляются обновления безопасности.
    Это самый быстрый и простой способ обновления базовых компонентов
    системы. Советы, касательно процесса обновления, можно найти в рассылке
    <a href="https://lists.openbsd.org/cgi-bin/mj_wwwusr?func=lists-long-full&amp;extra=announce">announce</a>.
    <p>
  <li><b>Обновление системы до -stable</b>
    <br>
    Загрузите или обновите ваш локальный
    <a href="../anoncvs.html">CVS репозиторий</a>, затем
    <a href="../stable.html">перекомпилируйте и пересоберите</a> ядро и userland.
    <p>
  <li><b>Накладывание патчей на уязвимые файлы</b>
    <br>
    Хотя накладывание патчей с <a href="../errata.html">errata страницы</a>
    обычно требует меньшего времени, чем CVS checkout/update и последующий
    процесс пересборки, универсальной последовательности действий нет.
    Иногда вы должны исправить и перекомпилировать лишь одну программу,
    иногда - целый ряд компонентов.
    <p>
  <li><b>Обновление системы до -current</b>
    <br>
    Поскольку все исправления (fixes) накладываются на -current, обновление
    системы до последнего <a href="faq5.html#Snapshots">снапшота</a> - это
    хороший способ получить все исправления одновременно.
    Тем не менее, помните, что использование -current подойдет не всем.
</ul>

Для third party ПО, установленного при помощи <a href="faq15.html">пакетов</a>,
исправления обычно затрагивают лишь последнюю версию.
Тут есть три варианта:

<ul>
  <li><b>Использование бинарных пакетов</b> - доступно для amd64, arm64, i386, sparc64
    <br>
    Бинарные пакеты для -stable пересобираются только в случае найденных проблем
    безопасности или необходимости использования других серьезных исправлений.
    Просто запустите <a href="https://man.openbsd.org/pkg_add">pkg_add(1)</a>
    с флагом <code>-u</code>, чтобы загрузить себе новые файлы.
    <p>
  <li><b>Использование дерева портов -stable</b>
    <br>
    Загрузите (или обновите) себе <a href="ports/ports.html">дерево портов</a>,
    запустите скрипт <code>/usr/ports/infrastructure/bin/pkg_outdated</code>,
    чтобы получить список всех пакетов, нуждающихся в пересборке, и выполните
    команду <code>make update</code> в каталоге соответствующего порта.
    В некоторых случаях перед пересборкой необходимо удалить существующие порты.
    Чтобы получать уведомления об обновлениях портов, подпишитесь на рассылку
    <a href="https://lists.openbsd.org/cgi-bin/mj_wwwusr?func=lists-long-full&amp;extra=ports-changes">ports-changes</a>.
    <p>
  <li><b>Обновление системы до -current</b>
    <br>
    Бинарные пакеты для -current пересобираются постоянно (on a regular basis),
    и эти новые пакеты включают все исправления безопасности.
</ul>

<h2 id="rc">Системные демоны (System Daemons)</h2>

Системные демоны (или "сервисы") запускаются, останавливаются и управляются при
помощи <a href="https://man.openbsd.org/rc">rc(8)</a> скриптов через
<a href="https://man.openbsd.org/rc.d">rc.d(8)</a>.

<p>
Большинство демонов и сервисов, которые поставляются вместе с OpenBSD,
контролируются во время загрузки системы при помощи переменных, установленных в
<a href="https://cvsweb.openbsd.org/src/etc/rc.conf?rev=HEAD">/etc/rc.conf</a>.
В этом файле присутствуют строки подобной этой:

<pre class="cmdbox">
httpd_flags=NO
</pre>

Мы видим, что <a href="https://man.openbsd.org/httpd">httpd(8)</a> не должен
запускаться во время загрузки системы при помощи
<a href="https://man.openbsd.org/rc">rc(8)</a>. В каждой строке есть комментарий,
показывающий вам параметры/флаги общего использования этого демона или сервиса.

<p>
Не редактируйте файл <a href="https://man.openbsd.org/rc.conf">rc.conf(8)</a>.
Вместо этого используйте утилиту <a href="https://man.openbsd.org/rcctl">rcctl(8)</a>
для внесение изменений в <code>/etc/rc.conf.local</code>.
Это упрощает процесс обновления, так как все изменения находятся в одном файле,
который не затрагивается во время обновления.

<p>
Например, чтобы запустить демон <a href="https://man.openbsd.org/apmd">apmd(8)</a>
для CPU scaling, можно сделать:

<pre class="cmdbox">
# <b>rcctl enable apmd</b>
# <b>rcctl set apmd flags -A</b>
# <b>rcctl start apmd</b>
</pre>

<h2 id="doas">Выполнение команд от имени другого пользователя</h2>

<a href="https://man.openbsd.org/doas">doas(1)</a> позволяет системному
администратору разрешать определенным пользователям запускать определенные
команды от имени другого пользователя. Обычные пользователи могут выполнять
административные команды, требуя только аутентификации самого себя, без
необходимости пароля root.

<p>
Например, при соответствующей настройке следующая команда покажет содержимое
файла <a href="https://man.openbsd.org/crontab.5">crontab(5)</a>, принадлежащего
пользователю root.

<pre class="cmdbox">
$ <b>doas -u root crontab -l</b>
</pre>

Команды, запускаемые при помощи <a href="https://man.openbsd.org/doas">doas(1)</a>,
по умолчанию протоколируются в <code>/var/log/secure</code>. Примеры конфигурации
можно найти в руководстве
<a href="https://man.openbsd.org/doas.conf">doas.conf(5)</a>.

<h2 id="vipw">Редактирование файла паролей</h2>

Основным файлом паролей OpenBSD является <code>/etc/master.passwd</code>.
Он доступен для чтения только пользователю root.
Утилита <a href="https://man.openbsd.org/pwd_mkdb">pwd_mkdb(8)</a> генерирует
читабельные файлы <code>/etc/passwd</code> и базы паролей
(<code>/etc/pwd.db</code> и <code>/etc/spwd.db</code>) из основного файла.
Формат описан в <a href="https://man.openbsd.org/passwd.5">passwd(5)</a>.

<p>
Всегда используйте <a href="https://man.openbsd.org/vipw">vipw(8)</a> для
редактирования файла паролей.
После того, как вы закончите редактирование, он сначала проверит изменения,
затем создаст <code>/etc/passwd</code> и базы паролей и, наконец,
установит копию вместо исходного файла <code>/etc/master.passwd</code>.

<h2 id="SKey">Использование S/Key</h2>

S/Key представляет из себя систему аутентификации по принципу "одноразового
пароля". Он генерирует последовательность одноразовых паролей из passphrase
(секретной парольной фразы) пользователя вместе с challenge, полученным от
сервера, при помощи хэш-функции:
<a href="https://man.openbsd.org/md5">md5</a>,
<a href="https://man.openbsd.org/sha1">sha1</a> or
<a href="https://man.openbsd.org/rmd160">rmd160</a>.

<blockquote>
<b>ВНИМАНИЕ:</b>
Системы с одноразовыми паролями защищают только информацию процесса аутентификации.
Они не мешают сетевым хулиганам получать доступ к личной информации.
Кроме того, если вы обращаетесь к защищенной системе A, рекомендуется сделать
это из другой доверенной системы B, чтобы никто не получал доступ к системе
A путем регистрации нажатий клавиш или захвата и/или подделки ввода и вывода
на вашем терминале.
</blockquote>

<h3>Настройка S/Key</h3>

Для начала каталог <code>/etc/skey</code> должен существовать.
Если этот каталог не существует, попросите суперпользователя создать его:

<pre class="cmdbox">
# <b>skeyinit -E</b>
</pre>

Затем используйте
<a href="https://man.openbsd.org/skeyinit">skeyinit(1)</a>
для инициализации вашего S/Key.
Сначала вам будет предложено ввести пароль, затем вы должны будете ввести
passphrase (секретную парольную фразу) S/Key длиной не менее 10 символов:

<pre class="cmdbox">
$ <b>skeyinit</b>
Password:
[Adding ericj with md5]
Enter new secret passphrase:
Again secret passphrase:

ID ericj skey is otp-md5 100 oshi45820
Next login password: HAUL BUS JAKE DING HOT HOG
</pre>

Обратите внимание на информацию в последних двух строках.
Программа, использованная для создания вашего S/Key пароля, -
<a href="https://man.openbsd.org/otp-md5">otp-md5(1)</a>,
порядковый номер (sequence number) - <code>100</code>,
а секретный ключ - <code>oshi45820</code>.
Шесть маленьких слов <code>HAUL BUS JAKE DING HOT HOG</code> составляют
S/Key пароль с порядковым номером <code>100</code>.

<h3>Генерация S/Key паролей</h3>
Чтобы сгенерировать S/Key пароль для следующего входа в систему,
используйте <a href="https://man.openbsd.org/skeyinfo">skeyinfo(1)</a>,
чтобы узнать, какую команду и параметры нужно для этого использовать:

<pre class="cmdbox">
$ <b>skeyinfo -v</b>
otp-md5 95 oshi45820
$ <b>otp-md5 95 oshi45820</b>
Enter secret passphrase:
NOOK CHUB HOYT SAC DOLE FUME
</pre>

Если же надо сгенерировать несколько S/Key паролей:

<pre class="cmdbox">
$ <b>otp-md5 -n 5 95 oshi45820</b>
Enter secret passphrase:
91: SHIM SET LEST HANS SMUG BOOT
92: SUE ARTY YAW SEED KURD BAND
93: JOEY SOOT PHI KYLE CURT REEK
94: WIRE BOGY MESS JUDE RUNT ADD
95: NOOK CHUB HOYT SAC DOLE FUME
</pre>

<h3>Использование S/Key для входа в систему</h3>

Пример сеанса с FTP сервером <code>localhost</code>, где используется
S/Key. Для входа в систему при помощи S/Key вы должны добавить
<code>:skey</code> к вашему имени:

<pre class="cmdbox">
$ <b>ftp localhost</b>
Connected to localhost.
220 oshibana.shin.ms FTP server (Version 6.5/OpenBSD) ready.
Name (localhost:ericj): <b>ericj:skey</b>
331- otp-md5 93 oshi45820
331 S/Key Password: <b>JOEY SOOT PHI KYLE CURT REEK</b>
[...]
230 User ericj logged in.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> <b>quit</b>
221 Goodbye.
</pre>

Это же относится и к <a href="https://man.openbsd.org/ssh">ssh(1)</a>:

<pre class="cmdbox">
$ <b>ssh -l ericj:skey localhost</b>
otp-md5 91 oshi45821
S/Key Password: <b>SHIM SET LEST HANS SMUG BOOT</b>
Last login: Thu Apr  7 12:21:48 on ttyp1 from 156.63.248.77
$
</pre>

<h2 id="Dir">Служба каталогов (Directory Services)</h2>

OpenBSD может использоваться как для серверных, так и для клиентских
баз данных, содержащих учетные записи пользоватей, информацию о группе
и другие данные, связанные с сетью.

<p>
Конечно, вы можете использовать различные службы каталогов в OpenBSD.
Но YP - единственный, к которому можно напрямую обратиться, используя
стандартные функции C-библиотеки, такие как
<a href="https://man.openbsd.org/getpwent">getpwent(3)</a>,
<a href="https://man.openbsd.org/getgrent">getgrent(3)</a>,
<a href="https://man.openbsd.org/gethostbyname">gethostbyname(3)</a>
и так далее. Таким образом, если вы храните свои данные в базе данных YP,
вам не нужно копировать их в локальные файлы конфигурации, такие как
<a href="https://man.openbsd.org/master.passwd">master.passwd(5)</a>,
прежде чем вы сможете использовать их, например, для аутентификации
пользователей в системе.

<p>
YP - это служба каталогов, совместимая с Sun Microsystems NIS
(Network Information System).
Загляните в <a href="https://man.openbsd.org/yp">yp(8)</a> для обзора
доступных справочных страниц. Будьте осторожны, некоторые операционные
системы содержат службы каталогов, имеющие одинаковые имена, но, тем
не менее, несовместимые, например NIS+.

<p>
Чтобы использовать службы каталогов, отличные от YP, вам нужно либо
заполнить локальные файлы конфигурации из данными из каталога,
либо использовать внешний интерфейс YP для каталога.
Например, вы можете использовать порт <code>sysutils/login_ldap</code>
при выборе первого, тогда как демон
<a href="https://man.openbsd.org/ypldap">ypldap(8)</a> в свою очередь
предоставит второе.

<p>
Для некоторых приложений простая синхронизация небольшого числа файлов
конфигурации между группой машин можно реализовать при помощи таких
инструментов, как
<a href="https://man.openbsd.org/rdist">rdist(1)</a>,
<a href="https://man.openbsd.org/cron">cron(8)</a>,
<a href="https://man.openbsd.org/scp">scp(1)</a> или
<code>rsync</code> (доступен из портов). Эта коллекция представляет
собой простую и надежную альтернативу directory services.

<h3 id="YP_secure">Вопросы безопасности YP</h3>

По соображениям совместимости все функции безопасности, встроенные в
реализацию YP OpenBSD, по умолчанию <i>отключены</i>. Даже когда все они
включены, протокол NIS по-прежнему небезопасен по двум причинам: все
данные, включая конфиденциальные данные, такие как хеши паролей, передаются
незашифрованными по сети, и ни клиент, ни сервер не могут надежно
проверить идентичность друг друга.

<p>
Таким образом, перед настройкой любого YP-сервера вы должны подумать,
приемлемы ли эти недостатки безопасности в вашем конкретном случае.
В частности, YP не подходит, если потенциальные злоумышленники имеют
физический доступ к вашей сети. Любой, кто получает root-доступ к любому
компьютеру, подключенному к сегментам вашей сети, по которым передается
трафик YP, может подключиться к вашему домену YP и получить его данные.
В некоторых случаях можно использовать SSL- и IPsec-туннели для трафика YP.

<h3 id="YP_server">Настройка YP сервера</h3>

Сервер YP обслуживает группу клиентов, называемых «доменом».
Вы должны сначала выбрать доменное имя; это может быть произвольная
строка, которая не должна быть каким-либо образом связана с доменными
именами DNS. Выбор случайного имени, такого как «Eepoo5vi», может немного
улучшить безопасность, хотя эффект в основном заключается в безопасности
по незаметности. В случае, если вам нужно поддерживать несколько отдельных
доменов YP, вероятно, лучше выбрать описательные имена, такие как «sales»,
«marketing» или «research», чтобы предотвратить ошибки системного
администрирования, вызванные неясностью. Также обратите внимание, что
в некоторых версиях SunOS требуется использовать доменное имя DNS хоста,
поэтому ваш выбор может быть ограничен.

<p>
Используйте утилиту
<a href="https://man.openbsd.org/domainname">domainname(1)</a>, чтобы
установить имя домена, и поместите его в файл
<a href="https://man.openbsd.org/defaultdomain">defaultdomain(5)</a>,
чтобы он автоматически использовался во время запуска системы.

<pre class="cmdbox">
# <b>echo "puffynet" > /etc/defaultdomain</b>
# <b>domainname `cat /etc/defaultdomain`</b>
</pre>

Вот так можно инициализировать YP сервер в интерактивном режиме:

<pre class="cmdbox">
# <b>ypinit -m</b>
</pre>

На этом этапе пока нет необходимости указывать slave-серверы.
Чтобы добавить slave-серверы, вы можете перезапустить
<a href="https://man.openbsd.org/ypinit">ypinit(8)</a> позже,
используя опцию <code>-u</code>.
Настройка хотя бы одного slave-сервера для каждого домена имеет смысл,
чтобы избежать прерываний обслуживания. Например, если главный сервер
когда-нибудь выйдет из строя или потеряет сетевое соединение, клиентские
процессы, пытающиеся получить доступ к YP maps, блокируются, пока они не
получат запрашиваемую информацию.
Таким образом, прерывания службы YP обычно делают клиентские хосты
полностью непригодными, пока проблемы с YP не будут устранены.

<p>
Решите, где хранить файлы для создания ваших YP maps.
Хранение конфигурации сервера отдельно от обслуживаемой конфигурации
(served configuration) помогает контролировать, какая информация будет
обслуживаться, а какая нет, поэтому использование по умолчанию
<code>/etc</code> часто является не лучшим выбором.

<p>
Единственное неудобство, вызванное изменением исходного каталога,
заключается в том, что вы не сможете добавлять, удалять и изменять
пользователей и группы в домене YP с помощью таких утилит, как
<a href="https://man.openbsd.org/user">user(8)</a> и
<a href="https://man.openbsd.org/group">group(8)</a>.
Вместо этого вам придется редактировать файлы конфигурации с
помощью текстового редактора.

<p>
Чтобы определить исходный каталог, отредактируйте файл
<code>/var/yp/`domainname`/Makefile</code> и измените переменную
<code>DIR</code>, например:

<pre class="cmdbox">
DIR=/etc/yp/src/puffynet
</pre>

Описание других параметров для файла
<code>/var/yp/`domainname`/Makefile</code> можно найти в
<a href="https://man.openbsd.org/Makefile.yp">Makefile.yp(8)</a>.

<p>
Например, даже если вы используете дефолтный каталог <code>/etc</code>,
вам, как правило, не нужны все учетные записи и группы, существующие на
сервере для всех ваших клиентских машин.
В частности, отсутствие защиты учетной записи root и, следовательно,
сохранение конфиденциальности хэша пароля root, рекомендуется с целью
безопасности. Просмотрите значения <code>MINUID</code>, <code>MAXUID</code>,
<code>MINGID</code> и <code>MAXGID</code> и настройте их в соответствии
с вашими потребностями/планами.

<p>
Если все ваши YP-клиенты используют OpenBSD или FreeBSD, исключите (exclude)
зашифрованные пароли из <code>passwd</code> maps, установив
<code>UNSECURE=""</code> в <code>/var/yp/`domainname`/Makefile</code>.

<p>
Прежняя практика редактирования файла шаблона <code>/var/yp/Makefile.yp</code>
больше не рекомендуется. Изменения в этом файле влияют на все домены,
инициализированные после изменения, но не влияют на домены,
инициализированные до изменения, так что в любом случае это черевато ошибкам:
во-первых, вы рискуете, что предполагаемые изменения не вступают в силу,
а во-вторых, вы рискуете забыть о них и их влиянии на другие домены, для
которых они никогда и не предназначались.

<p>
Создайте source directory и заполните его необходимыми файлами конфигурации.
См. <a href="https://man.openbsd.org/Makefile.yp">Makefile.yp(8)</a>, чтобы
узнать, какие YP maps требуют какие файлы. Для формата отдельных файлов
конфигурации, ознакомьтесь с
<a href="https://man.openbsd.org/passwd.5">passwd(5)</a>,
<a href="https://man.openbsd.org/group.5">group(5)</a>,
<a href="https://man.openbsd.org/hosts">hosts(5)</a>
и так далее, а также ознакомьтесь с примерами в <code>/etc</code>.

<p>
Создайте initial version своих YP maps при помощи команд

<pre class="cmdbox">
# <b>cd /var/yp</b>
# <b>make</b>
</pre>

Не переживайте сейчас по поводу сообщений об ошибках от
<a href="https://man.openbsd.org/yppush">yppush(8)</a>.
YP-cервер еще не запущен.

<p>
Для связи с клиентами YP использует <a href="https://man.openbsd.org/rpc">rpc(3)</a>
(remote procedure calls, удаленные вызовы процедур), поэтому необходимо
включить <a href="https://man.openbsd.org/portmap">portmap(8)</a>.
Используйте для этого <a href="https://man.openbsd.org/rcctl">rcctl(8)</a>.

<pre class="cmdbox">
# <b>rcctl enable portmap</b>
# <b>rcctl start portmap</b>
</pre>

Не забывайте об использовании таких функций безопасности YP сервера как
<a href="https://man.openbsd.org/securenet">securenet(5)</a> или
<a href="https://man.openbsd.org/ypserv.acl">ypserv.acl(5)</a>
Но имейте в виду, что оба они обеспечивают только контроль доступа на
основе IP. Таким образом, они помогают только до тех пор, пока потенциальные
злоумышленники не имеют ни физического доступа к оборудованию сегментов
сети, передающих ваш YP-трафик, ни доступа к любому из хостов, подключенных
к этим сегментам сети.

<p>
Наконец, запустите YP-сервер:

<pre class="cmdbox">
# <b>rcctl enable ypserv</b>
# <b>rcctl start ypserv</b>
</pre>

Чтобы протестировать ваш только что запущенный сервер, подумайте о том,
чтобы сделать его собственным клиентом, следуя инструкциям в первой части
следующего раздела. Если вы не хотите, чтобы сервер использовал свои
собственные maps, вы можете отключить клиентскую часть после теста при
помощи следующих команд:

<pre class="cmdbox">
# <b>rcctl stop ypbind</b>
# <b>rcctl disable ypbind</b>
</pre>

Помните, что каждый раз, когда вы изменяете файл, созданный YP map,
вы должны заново сгеренировать свои YP maps.

<pre class="cmdbox">
# <b>cd /var/yp</b>
# <b>make</b>
</pre>

Это обновит все файлы базы данных в <code>/var/yp/`domainname`</code>.
Исключением тут является файл <code>ypservers.db</code>, в котором
перечислены все ведущие и подчиненные сервера YP, связанные с доменом.
Он создается непосредственно при помощи <code>ypinit -m</code>, а изменяется
при помощи <code>ypinit -u</code>. Если вы случайно удалили его, при помощи
<code>ypinit -u</code> вы можете сгенерировать его снова (воссоздать с нуля).

<h3 id="YP_client">Настройка YP клиента</h3>

Процесс настройки YP-клиента состоит из двух частей.
Во-первых, вы должны запустить демон YP-клиента, привязав ваш хост к
YP-серверу. Выполнение следующих шагов позволит вам получить данные с
YP-сервера, но эти данные еще не будут использоваться системой:

<p>
Как и на сервере, вы должны установить доменное имя и включить portmapper:

<pre class="cmdbox">
# <b>echo "puffynet" > /etc/defaultdomain</b>
# <b>domainname `cat /etc/defaultdomain`</b>
# <b>rcctl enable portmap</b>
# <b>rcctl start portmap</b>
</pre>

Рекомендуется добавить список YP-серверов в конфиг
<code>/etc/yp/`domainname`</code>. В противном случае, демон YP-клиента
будет использовать широковещательные рассылки для поиска YP-серверов своего
домена.
Явная спецификация серверов более надежна и менее уязвима для атак.
Если вы не настроили никаких slave-серверов, просто поместите имя хоста
главного сервера в <code>/etc/yp/`domainname`</code>.

<p>
Добавьте в автозагрузку (enable) и запустите демон YP-клиента,
<a href="https://man.openbsd.org/ypbind">ypbind(8)</a>.

<pre class="cmdbox">
# <b>rcctl enable ypbind</b>
# <b>rcctl start ypbind</b>
</pre>

Если все прошло без ошибок, вы сможете отправлять запросы YP-серверу при
помощи <a href="https://man.openbsd.org/ypcat">ypcat(1)</a> и получать
назад passwd map.

<pre class="cmdbox">
# <b>ypcat passwd</b>
bob:*:5001:5000:Bob Nuggets:/home/bob:/usr/local/bin/zsh
...
</pre>

Еще один полезный инструмент для отладки настройки вашего YP -
<a href="https://man.openbsd.org/ypmatch">ypmatch(1)</a>.

<p>
Вторая часть настройки YP-клиента подразумевает редактирование локальных
файлов конфигурации таким образом, чтобы определенные YP maps использовались
различными системными средствами. Не все серверы обслуживают все стандартные
maps, поддерживаемые операционной системой, некоторые серверы обслуживают
дополнительные нестандартные maps, и вы ни в коем случае не обязаны использовать
из все. Какая из доступных maps должна или не должна использоваться, и для
каких целей, полностью на усмотрение системного администратора хоста-клиента.

<p>
Список стандартных YP maps и их стандартное назначение смотрите в
<a href="https://man.openbsd.org/Makefile.yp">Makefile.yp(8)</a>.

<p>
Если вы хотите включить все учетные записи пользователей из YP-домена,
добавьте YP-маркер по умолчанию в master password file и пересоберите базу
паролей:

<pre class="cmdbox">
# <b>echo '+:*::::::::' >> /etc/master.passwd</b>
# <b>pwd_mkdb -p /etc/master.passwd</b>
</pre>

Подробную информацию о выборочном включении и исключении учетных записей
пользователей можно найти в
<a href="https://man.openbsd.org/passwd.5">passwd(5)</a>.
Чтобы проверить, действительно ли работает включение, используйте утилиту
<a href="https://man.openbsd.org/id">id(1)</a>.

<p>
Если вы хотите включить все группы из YP-домена, добавьте дефолтный YP-маркер
в group файл:

<pre class="cmdbox">
# <b>echo '+:*::' >> /etc/group</b>
</pre>

Подробнее о добавлении пользователей в ту или иную группу см.
<a href="https://man.openbsd.org/group.5">group(5)</a>.
